我必须在演示笔记本电脑上部署虚拟机,这些虚拟机将使用 Vmware 播放器,但我有一些安全方面的担忧,因为存储在虚拟机中的一些数据有点敏感。
有没有办法防止复制这些虚拟机?虚拟硬盘是否加密?如果没有,是否有办法加密?简而言之,有没有办法锁定所有内容,以便没有人可以在另一台计算机上复制和使用这些虚拟机?
编辑 :
使用 Truecrypt 加密虚拟机可能是一个解决方案,但如果 Truecrypt 使用的密码泄露,那么它就毫无用处了。将虚拟机与计算机关联,使其只能在特定硬件上运行,应该可以解决问题,但我还没有找到允许我这样做的解决方案……
答案1
三条建议和一条评论..
S1- 重新配置演示以最小化(或消除)可用的安全数据。这是最好的方法。
S2- 为演示笔记本电脑提供移动宽带,这样它们就可以在不插入客户端的情况下进行连接,从而避免出现此问题。此时,有大量非常安全的连接方法(VPN、终端服务器、GotoMyPC 等)。这可能比构建安全、不方便且必须经常管理和处理的笔记本电脑更具成本效益。
S3 - 如果这些都不适合您的组织,您可以使用TrueCrypt 与 YubiKey,无论是否在虚拟机内。这样,如果密码泄露,数据仍然是安全的。
评论:一旦你允许某人访问你的数据,那么你的数据就等于消失了。他们可以截屏、打印、用手机拍照、做笔记、记住关键项目等。根据我的经验,使用越来越繁重和不方便的方法来减少客户端可能出现的泄漏,其回报很快就会减少。成本上升,效率下降,不便性变得无法控制。在我看来,最好的方法是堵住核心中相当常见的泄漏,限制访问直到建立信任,并接受你信任的人可能不值得信任的永久风险。
答案2
我不知道针对您的问题是否有 VMWare 特定的解决方案,虚拟磁盘本身并未加密,但显然存在特定于客户机的系统可以防止未经授权的访问,但如果您复制磁盘,它仍将具有相同的内容。我想如果您使用的是 Player/WS/Server,您可以将虚拟磁盘放在 bitlocker 之类的东西中并应用版权访问权限,但这取决于您的主机操作系统类型。
答案3
你要VMware ACE。
它类似于 vmware player,但镜像由 vmware 本身加密。您可以执行诸如设置到期时间和密码以及远程禁用/删除虚拟机等操作。
那么,这一切如何抵御针对您的一台虚拟机的协同攻击呢?可能效果不佳,但总比分发没有任何保护的普通虚拟机要好。
答案4
我不知道有何种方法能够超出 Windows 内置的功能来保护图像(假设这就是您正在使用的 VM 中的内容)。
我想问您的一个问题与部署有关;如果这些是演示笔记本电脑,您会在上面放什么敏感数据?我的意思是,您具体想防范哪些情况?如果您不使用虚拟机,它们的数据仍然可能被盗。您必须在文件系统上使用 Windows(或 Linux)加密,以防止窃贼访问数据,而这又是您可以在客户操作系统中启用的功能。
如果您正在使用一些使用敏感数据的演示软件,您可能需要重新考虑这样做。对于笔记本电脑,您获得的保护只能取决于您对用户的信任程度,因为世界上所有的加密和措施都无法阻止授权用户欺骗您或您的公司。另一方面,过度限制或采用繁琐的做法将导致用户对您的公司和部门产生很多恶意。
还要注意,添加加密层可能会增加笔记本的开销;您将在加密层(这会增加开销,从而使其速度略慢)上运行虚拟化系统(这会慢一些),因此这可能会影响性能。您需要测试一下。
根据您的描述,我可能会使用客户操作系统的内置安全功能根据需要加密内容以保护您担心的数据,或者使用驱动器或 USB 驱动器上的加密卷(例如 Truecrypt)或使用此类工具在客户机内加密以保护信息。最好的选择是内置工具,例如 NTFS 上的 Windows 加密,否则是 Truecrypt。以及您可以在笔记本电脑上使用的任何其他安全措施(例如 BIOS 设置适当更改)。